| Wordpress vor Hackern schützen |
 |
 |
 |
|
Bereich: CMS/LMS; Erstellt: Donnerstag, 29. April 2010; 634 mal gelesen Wordpress-Blogs sind auch für Hacker interessant. Wie die Angriffe funktionieren und wie Sie Ihr Blog dagegen schützen können, erläutert dieser Artikel.
FTP-Bereich Bei der Installation von Wordpress wird ein Verzeichnis /wp-content/ angelegt, das unter anderem die Unterverzeichnisse /plugins/ und /themes/ enthält, außerdem das Unterverzeichnis /uploads/. In /plugins/ werden die Plugins abgelegt, die den Funktionsumfang von Wordpress erweitern. In /themes/ werden die Designvorlagen abgelegt, die das optische Erscheinungsbild des Wordpress-Blogs beeinflussen. Im Ordner /uploads/ schließlich werden über das Dashboard (Backend von Wordpress, in dem neue Artikel geschrieben und Verwaltungsfunktionen durchgeführt werden) Dateien hochgeladen, wie Fotos (als Illustrationen für Artikel), Videos, Sounddateien, PDF-Dateien. Diese Verzeichnisse werden über einen FTP-Client verwaltet. Wichtig für die Sicherheit in diesem Zusammenhang sind die Dateirechte auf dem Webserver, auf die wir im weiteren Verlauf noch zu sprechen kommen werden. MySQL-Datenbank Alles, was Sie in Wordpress an Text eingeben oder über das Dashboard konfigurieren (wie Artikel, Tags, Kategorien, Benutzer, Benutzerrechte, Passwörter, Seiten), wird in einer MySQL-Datenbank auf dem Webserver abgespeichert. Damit Wordpress die Datenbank findet, müssen in der Konfigurationsdatei wp-config.php der Datenbankname sowie der Datenbankbenutzer samt Passwort angegeben werden. Darüber hinaus wird in der Konfigurationsdatei auch angegeben, mit welchem Präfix die Wordpress-Tabellen in der Datenbank gekennzeichnet werden. Auch das ist sicherheitsrelevant.
Attacken auf Wordpress Attacken sind sowohl im FTP-Bereich als auch im Datenbankbereich möglich. Wie erwähnt, bleiben sie lange unbemerkt. Woran also können Sie Angriffe erkennen? Übliche Indizien, dass Ihr Blog angegriffen und verseucht wurde, sind deutlich längere Ladezeiten als gewohnt oder auch eine abrupte Verschlechterung des Google-Rankings. Auch eine veränderte Permalinkstruktur (Links enthalten unbekannte Elemente) weist auf einen Angriff hin. Wenn dieser generelle Verdacht besteht, müssen Sie sich die möglichen Angriffsflächen genauer ansehen. Im FTP-Bereich kann es passieren (wenn die Dateirechte nicht restriktiv genug gesetzt sind), dass Dateien verändert werden und plötzlich Schadcode enthalten, der beispielsweise Code von fremden Webseiten lädt oder Spam-Links in Ihr Blog einfügt (Spam injection). Dass Dateien verändert wurden, erkennen Sie an der Dateigröße, manchmal auch am Dateidatum. Um einen Vergleich zu haben, ist es daher wichtig, dass Sie eine Kopie der Wordpress-Daten auf Ihrem lokalen Rechner vorhalten, um vergleichen und im Fall eines Angriffs die sauberen Ursprungsdateien auf den Server zurückspielen zu können.
Nur registrierte Benutzer können Kommentare schreiben!
Powered by !JoomlaComment 3.26
3.26 Copyright (C) 2008 Compojoom.com / Copyright (C) 2007 Alain Georgette / Copyright (C) 2006 Frantisek Hliva. All rights reserved." |
Wordpress gehört zu den beliebtesten Blog-Anwendungen. Die Open-Source-Software ist einfach zu installieren und zu bedienen, und dank einer weltweiten Entwicklergemeinde leicht an vielfältige Anwendungsbereiche anzupassen.
